前言

學習惡意代碼分析的第一步就是配置網絡環(huán)境政冻，網絡環(huán)境配置好以后才能放心的運行惡意代碼進行分析枚抵。

分析惡意代碼首先要運行惡意代碼，但是我們需要一個安全的環(huán)境里運行惡意代碼明场，某些惡意代碼需要網絡環(huán)境汽摹，如果我們單純的將惡意代碼放置在一個什么服務都沒有的環(huán)境里，那么我們將無法分析惡意代碼運行時的網絡行為苦锨，也就達不到分析的目的逼泣。

因此，為了完整的分析惡意代碼的行為舟舒，我們通常需要使用linux下的InetSim軟件拉庶，該軟件是一款模擬常見網絡服務的免費軟件，運行在linux環(huán)境下魏蔗，通常配置在一個linux虛擬機中作為網絡的服務器。

我們需要兩個虛擬機環(huán)境痹筛，一個是windows xp虛擬機（或其它windows版本虛擬機環(huán)境）作為分析機莺治，用來運行和分析惡意代碼的行為，另一個是linux虛擬機作為服務器（我使用的是kali）帚稠，用來運行InetSim軟件谣旁，提供惡意代碼運行需要的網絡環(huán)境。

為了防止惡意代碼逃逸到本機滋早，同時又要成功連接linux虛擬機中的服務器榄审，我們需要配置的網絡環(huán)境為，兩個虛擬機之間可以相互連接杆麸，同時兩個虛擬機不能連接到本機搁进。

本篇文章詳細講述了vmware如何配置虛擬機網絡環(huán)境浪感。主要包括以下幾點：

• 配置兩臺可以相互連接的虛擬機，一臺作為服務機饼问，一臺作為分析機影兽，同時這兩臺虛擬機不能連接到主機。
• InetSim服務配置
• ApateDNS配置

本文參考了52破解的網絡環(huán)境配置一文

網絡環(huán)境配置

1. 打開vmware莱革，點擊編輯-->虛擬網絡編輯器峻堰，出現(xiàn)網絡編輯器的對話框，點擊添加網絡盅视，選擇一項沒有使用過的虛擬網絡名稱捐名，添加。我這里使用的是VMnet3闹击，如圖：
   

   添加網絡.png

2. 去掉將主機虛擬適配器連接到此網絡的選項镶蹋，該選項去掉以后該虛擬機網絡將連不上主機，DHCP可以自己設置拇砰，這里使用的是默認配置梅忌。然后點擊確定，如圖：
   

   去除主機虛擬適配器.png

3. 點擊虛擬機-->設置-->網絡適配器除破，將兩個虛擬機的網絡設置成剛剛自定義的網絡牧氮，如圖所示：
   

   虛擬機網絡設置.png

4. 進入kali虛擬機，查看虛擬機的IP地址瑰枫，并記下來踱葛，比如ip地址為 192.168.1.1，然后打開win xp虛擬機光坝，打開網絡屬性尸诽，設置備用DNS服務器地址為剛剛的IP地址：192.168.1.1，首選DNS服務器設置為127.0.0.1盯另，如圖所示：

   
   
   win xpDNS配置.png

5. 在linux虛擬機中安裝并配置InetSim性含，kali已經自帶該軟件，因此我不需要安裝鸳惯，其他linux版本可看InetSim安裝及配置這篇文章進行InetSim的安裝和配置商蕴。安裝好該軟件后，需要對該軟件進行設置芝发，打開/etc/inetsim/inetsim.conf文件绪商，對inetconf進行配置，因為可能不同的環(huán)境需要配置不同的環(huán)境辅鲸，建議先對該文件進行備份格郁，在進行修改。

6. InetSim具體配置：修改服務器綁定地址，該地址默認為127.0.0.1例书，我們將該地址修改為linux的ip地址锣尉，然后修改dns回傳地址，同樣修改為本機linux地址雾叭，如圖所示：

   
   
   服務器地址.png

DNS回傳地址.png

7. 配置好InetSim后悟耘，在終端打開InetSim，我們的假服務器開始運行和監(jiān)聽织狐，InetSim可以模擬常見的網絡服務暂幼，如圖所示：

   
   
   InetSim啟動.png

8. 在win xp中安裝并打開ApateDNS軟件，在win xp中安裝該軟件會提示安裝.net framework移迫，要安裝2版本的旺嬉，3版本的不能使用。打開該軟件后厨埋，設置DNS回傳地址為linux ip地址邪媳，即192.168.1.1，這樣win xp上的網絡服務會使用Linux的虛假服務去響應DNS請求荡陷，可以查看惡意代碼的DNS請求雨效，設置好以后，點擊啟動服務器废赞，然后等待網絡活動即可徽龟，如圖所示：

   
   
   ApateDNS設置.png

9. 至此我們的虛擬機網絡環(huán)境以及配置成功！我們來檢查一下成果唉地，打開瀏覽器隨意輸入一個域名据悔，可以看到我們得到了InetSim提供的虛假網頁，我們也可以下載文件耘沼，InetSim也會提供虛假文件供我們下載极颓，返回看ApateDNS軟件，可以看到捕捉到了win xp虛擬機的網絡請求群嗤，如圖所示：

   
   
   虛擬網頁.png

虛擬文件.png

ApateDNS捕獲的網絡請求.png

10. 用ctrl+C關掉InetSim軟件菠隆，會提示我們網絡報告存儲在哪里，查看網絡報告狂秘，可以看到剛剛的網絡連接骇径，如圖所示：
    
    InetSim報告存放位置.png

InetSim的網絡報告.png

11. 完工！赃绊！接下來就可以在我們設置的虛擬網絡環(huán)境里放心的分析惡意軟件啦~

無意中發(fā)現(xiàn)既峡，有篇文章講述了各種安裝過程中的問題和解決方法羡榴，比較詳細碧查，放上來以作參考。
計算機病毒實踐匯總五：搭建虛擬網絡環(huán)境